Key Takeaways
- Serangan zero-click Windows baru yang dapat membahayakan mesin tanpa tindakan pengguna telah diamati di alam liar.
- Microsoft telah mengakui masalah ini dan mengeluarkan langkah-langkah perbaikan, tetapi bug tersebut belum memiliki patch resmi.
- Peneliti keamanan melihat bug sedang dieksploitasi secara aktif dan mengharapkan lebih banyak serangan dalam waktu dekat.
Peretas telah menemukan cara untuk membobol komputer Windows hanya dengan mengirimkan file berbahaya yang dibuat khusus.
Dijuluki Follina, bug ini cukup serius karena memungkinkan peretas untuk mengambil kendali penuh atas sistem Windows apa pun hanya dengan mengirimkan dokumen Microsoft Office yang dimodifikasi. Dalam beberapa kasus, orang bahkan tidak perlu membuka file, karena pratinjau file Windows sudah cukup untuk memicu bit jahat. Khususnya, Microsoft telah mengakui bug tersebut tetapi belum merilis perbaikan resmi untuk membatalkannya.
"Kerentanan ini harus tetap berada di urutan teratas daftar hal-hal yang perlu dikhawatirkan," Dr. Johannes Ullrich, Dekan Riset SANS Technology Institute, menulis dalam buletin mingguan SANS. "Sementara vendor anti-malware memperbarui tanda tangan dengan cepat, mereka tidak memadai untuk melindungi dari berbagai eksploitasi yang mungkin memanfaatkan kerentanan ini."
Pratinjau untuk Berkompromi
Ancaman itu pertama kali ditemukan oleh peneliti keamanan Jepang menjelang akhir Mei berkat dokumen Word yang berbahaya.
Peneliti keamanan Kevin Beaumont membuka kerentanan dan menemukan file.doc memuat potongan kode HTML palsu, yang kemudian memanggil Alat Diagnostik Microsoft untuk mengeksekusi kode PowerShell, yang pada gilirannya menjalankan muatan berbahaya.
Windows menggunakan Microsoft Diagnostic Tool (MSDT) untuk mengumpulkan dan mengirim informasi diagnostik ketika terjadi kesalahan pada sistem operasi. Aplikasi memanggil alat menggunakan protokol URL MSDT khusus (ms-msdt://), yang ingin dieksploitasi oleh Follina.
"Eksploitasi ini adalah segunung eksploitasi yang ditumpuk di atas satu sama lain. Namun, sayangnya mudah dibuat ulang dan tidak dapat dideteksi oleh anti-virus," tulis pendukung keamanan di Twitter.
Dalam diskusi email dengan Lifewire, Nikolas Cemerikic, Cyber Security Engineer di Immersive Labs, menjelaskan bahwa Follina itu unik. Itu tidak mengambil rute yang biasa menyalahgunakan makro kantor, itulah sebabnya bahkan dapat mendatangkan malapetaka bagi orang-orang yang telah menonaktifkan makro.
"Selama bertahun-tahun, email phishing, dikombinasikan dengan dokumen Word berbahaya, telah menjadi cara paling efektif untuk mendapatkan akses ke sistem pengguna, " jelas Cemerikic. "Risiko sekarang meningkat dengan serangan Follina, karena korban hanya perlu membuka dokumen, atau dalam beberapa kasus, melihat pratinjau dokumen melalui panel pratinjau Windows, sambil menghilangkan kebutuhan untuk menyetujui peringatan keamanan."
Microsoft dengan cepat mengeluarkan beberapa langkah perbaikan untuk mengurangi risiko yang ditimbulkan oleh Follina. "Mitigasi yang tersedia adalah solusi berantakan yang industri belum sempat mempelajari dampaknya," tulis John Hammond, peneliti keamanan senior di Huntress, di blog penyelaman perusahaan tentang bug tersebut. "Mereka melibatkan perubahan pengaturan di Windows Registry, yang merupakan bisnis serius karena entri Registry yang salah dapat merusak mesin Anda."
Kerentanan ini harus tetap berada di urutan teratas daftar hal-hal yang perlu dikhawatirkan.
Meskipun Microsoft belum merilis tambalan resmi untuk memperbaiki masalah ini, ada tambalan tidak resmi dari proyek 0patch.
Berbicara melalui perbaikan, Mitja Kolsek, salah satu pendiri proyek 0patch, menulis bahwa meskipun mudah untuk menonaktifkan alat Diagnostik Microsoft sama sekali atau untuk mengkodifikasi langkah-langkah perbaikan Microsoft ke dalam tambalan, proyek tersebut berjalan untuk pendekatan yang berbeda karena kedua pendekatan ini akan berdampak negatif pada kinerja Alat Diagnostik.
Ini Baru Dimulai
Vendor keamanan siber sudah mulai melihat kelemahannya dieksploitasi secara aktif terhadap beberapa target terkenal di AS dan Eropa.
Meskipun semua eksploitasi saat ini di alam liar tampaknya menggunakan dokumen Office, Follina dapat disalahgunakan melalui vektor serangan lainnya, jelas Cemerikic.
Menjelaskan mengapa dia percaya bahwa Follina tidak akan hilang dalam waktu dekat, Cemerikic mengatakan bahwa, seperti halnya eksploitasi atau kerentanan besar, peretas akhirnya mulai mengembangkan dan merilis alat untuk membantu upaya eksploitasi. Ini pada dasarnya mengubah eksploitasi yang agak rumit ini menjadi serangan point-and-click.
"Penyerang tidak perlu lagi memahami cara kerja serangan atau menyatukan serangkaian kerentanan, yang perlu mereka lakukan hanyalah mengklik 'jalankan' pada sebuah alat," kata Cemerikic.
Dia berpendapat bahwa inilah yang telah disaksikan oleh komunitas keamanan siber selama seminggu terakhir, dengan eksploitasi yang sangat serius dilakukan oleh penyerang dan script kiddies yang kurang mampu atau tidak berpendidikan.
"Seiring berjalannya waktu, semakin banyak alat ini tersedia, semakin banyak Follina akan digunakan sebagai metode pengiriman malware untuk membahayakan mesin target," Cemerikic memperingatkan, mendesak orang-orang untuk menambal mesin Windows mereka tanpa penundaan.